security 第354页 - IT屋-程序员软件开发技术分享社区

什么是OAuth的为确保REST API的好处？

我想打一个Web应用程序，这是一个单页的客户端与服务器中的REST API交互。我需要相验证的第三方应用程式（后者是最臣民REST书目的焦点）来验证我的应用程序的用户。谷歌上搜索了很多后，我发现有很多选择（基本HTTP验证，HTTP摘要，OAuth的，等等），一个可能会被根据选择之一几个理想的特性。例如，基本认证是简单而朴素发送未加密的密码，除非你保证你的应用程序将TLS下运行这是不是一个 ..

发布时间：2016-05-23 22:08:17 api security rest authentication oauth 其他开发

手机 - API服务器安全

我建立一个Android应用程序 - 的重要组成部分，其中包括与服务器API集成。该应用程序只是一个侧面项目，我真的只是寻找我的计划API安全验证和最佳实践的建议，以及如何其他应用程序做到这一点。应用将是移动只（下手，没有网站） - 我希望能够从应用程序中创建用户帐户，一旦签约，使用中央网络API来访问/更新保护用户的具体内容我已经开始看是一个基本的托管MVC的Web应用程序（我JVM / ..

发布时间：2016-05-23 22:07:41 api security mobile oauth 其他开发

在什么地方登录对话框3条腿验证了宁静的API

我想换我的头约3条腿的认证，以确保一个宁静的API。目前我在app.host.com需要由多个用户使用不同的帐户权限和数据，以及其在app_api.host.com 有关3条腿的权威性，我明白，我首先需要一个消费者密钥和秘密属于客户app.host.com ......我也明白一个未经授权的请求令牌必须由服务提供商，这是考虑到提供在客户端，然后将其重定向回服务提供者的授权与一个登录对话框 ..

发布时间：2016-05-23 22:05:22 api security rest oauth 其他开发

对于CLIENT_ID的OAuth2安全的考虑

在使用用户剂OAuth2流程的移动平台，是没有办法的授权服务器来验证应用程序的CLIENT_ID。所以，任何人都可以通过复制CLIENT_ID（并因此获得代表我所有的访问令牌）冒充我的应用程序，这是适用于脸谱，四方，... 这不是由管理的OAuth2？还是我错过了什么？有关Web应用程序（Web服务器流动），访问令牌被存储在服务器端，而客户端使用秘密密钥进行认证。解决方案有没 ..

发布时间：2016-05-23 21:58:48 facebook security api authentication oauth-2.0 其他开发

使用Javascript调用与应用程序名称和App密码一个REST API - 如何保护它

我相信这个问题已经被问了很多时间。但想重新确认我的怀疑，并得到一些提示。我正打算玩弄buddy.com后端即服务。而我看到的大部分REST API的需要，如果你正在使用JavaScript应用程序名和密码被嵌入。他们没有为JavaScript任何文件，但。但不知道如果我要开始使用普通的HTML或HTML5的Web应用程序，现在用它从Javascript。我如何使用它。 ..

发布时间：2016-05-23 21:57:38 javascript security api 前端开发

如何安全地使用API密钥

我将做一个简单的Web应用程序。它只会最多有几页，以及应用程序的主要焦点正在调用的API，并用这些信息做的东西。我想知道最好的办法就是保持我的API密钥安全的。是否有我可以使用这种极其轻量级的框架？如果我只是在创建根一个PHP页面？我可以建立与codeigniter的东西，但是，似乎是实在是太多了我需要的东西。解决方案请在文件中的API密钥您的Web根目录之外。然后包括在将要求其使 ..

发布时间：2016-05-23 21:57:21 php api security PHP

API设计和安全性：为什么要隐藏内部ID？

我听到一些人说，你永远不应该暴露你的内部ID给外界（比如一个auto_increment'ng主键）。有人建议有某种UUID列，你改用进行查找。我不知道真的为什么会提出，如果它是真正重要的。使用UUID而不是基本上只是混淆的标识。重点是什么？我能想到的唯一的事情就是auto_incrementing整数明显指出我的数据库对象的排序。如果外部用户知道的一件事是之前创建/陆续有什么关系？ ..

发布时间：2016-05-22 22:23:40 security api database-design 其他开发

OAuth进行服务器到服务器API安全性

所以这几天我都走遍了API安全“最佳实践”或技术网络，专门为被访问的直供从服务器到服务器（服务器到服务器）的API。似乎有许多不同的意见，而且很难将它们整合到一个可行的思路。据许多，OAuth是要走的路。依赖于是否希望不使用安全套接字协议，选择是要么OAuth的1.0A或分别的OAuth 2.0。关于OAuth的，我的理解是OAuth的1.0A主要关心的是请求的数字标牌，而OAuth 2. ..

发布时间：2016-05-22 22:23:13 security api oauth 其他开发

我是新来解析，并有一个关于数据的分析用户“表”的安全问题。我要存储与用户数据一起的附加数据。例如，电话号码。但默认情况下解析设置用户表已经阅读人的访问权限。所以，如果有人只是打我的解析API，他们将能够获得所有用户和他们的电话号码列表。显然，这是不是很安全。所以，我应该设置的用户对象，所以他们不能被任何人读取？或者我应该存储在不同的表我的个人信息？相关的，我也觉得很奇怪，任何人只能够基本上我倾倒所 ..

发布时间：2016-05-22 22:21:39 api security rest parse.com 其他开发

保护API密钥在胖客户端应用程序

在一个应用程序，我有密钥用来计算一个哈希API调用。在.NET应用程序是相当容易使用反射像一个程序从组件拉出来的信息，包括这些键。时的混淆装配确保这些键的好办法？解决方案大概没有。看密码学和Windows内置的信息隐藏机制（DPAPI和存储在ACL限制的注册表项键，例如）。这是一样好，你会得到你需要保持在同一系统上您的应用程序的安全性。如果你正在寻找一种方式来阻止别人从身体 ..

发布时间：2016-05-22 22:21:16 web-services security api 其他开发

C＃Windows安全中心设置

我想在Windows中禁用行动中心的消息。我知道那里的注册表保存值这些检查，但这些都是该机的具体。我知道我可以禁用完整的服务。但我不希望禁用的服务，我只是想不显示通知/警报/消息。要查看这些选项我谈论转到：CMD.EXE - > RUNDLL32.EXE SHELL32.DLL，Control_RunDLL wscui.cpl 安全中心将启动，并单击左侧的“更改操作中心设置”。现在我有“ ..

发布时间：2016-05-22 22:19:46 c# security api interface center C#/.NET

我怎么能提供有限的接口的Greasemonkey的GM_xmlhtt prequest到我的网页的JavaScript？

我有一个通过插入运行在无特权的情况下大部分code的Greasemonkey的userscript一个＆LT;脚本＆GT; 标签，像这样：函数code { ... }VAR脚本=使用document.createElement（“脚本”）; script.type =“应用程序/ JavaScript的”; script.innerHTML =“（”+ code +“）（）;”; docu ..

发布时间：2016-05-22 22:07:12 javascript security api greasemonkey 前端开发

帮助与ASP.NET MVC和自定义的安全设计2个部分的问题

我使用ASP.NET MVC和我试图分开了很多我的逻辑。最终，这个应用程序将被pretty大。这基本上是一个SaaS的应用程序，我需要允许不同类型的客户端访问。我有一个问题的两个部分;我一般设计的第一个交易和第二讲述了如何在ASP.NET MVC 利用首先，有最初将一个ASP.NET MVC“客户机”的前端和将有一组用于第三方网络的服务与（也许移动等）进行交互。我知道我可以有ASP.N ..

发布时间：2016-05-22 22:07:07 asp.net-mvc security design api 其他开发

使用什么来生成OAuth 2访问令牌

所以我玩弄试图尽可能接近实现，我可以的OAuth 2这个API我建设。我在那里我需要生成的access_token但我试图找出这样做的最好的方法的地步。我已阅读在一个非常的地方，人们都以加密亡灵信息和的access_token（如到期日期，客户端ID，等...），以prevent每个API调用的数据库查询。我想想和思想，请问产生的access_token办理撤销访问的呀？我指的是使用OAuth ..

发布时间：2016-05-22 22:03:16 api security oauth-2.0 其他开发

在SPA的应用程序令牌认证

我开始新的项目。这是小应用（操场），以了解夫妻的新概念。我将使用Ruby on Rails和单页应用程序中使用阵营创建后台API。我被困在验证。我想创建自定义的基于令牌的授权/授权。我来到了以下验证流程：用户填写密码/登录和发送使用Ajax，并通过安全的HTTPS连接的支持。如果用户存在于数据库后盾检查。如果用户存在后端创建令牌并保存到Redis的使用用户ID。与令牌客户端应用程序 ..

发布时间：2016-05-22 22:00:34 api security rest authentication 其他开发

正确的方法来配置防火墙的Silex使用API密钥

我一直在努力使接受API密钥的API，并在随后的 http://symfony.com/doc/current/cookbook/security/api_key_authentication.html 。有没有更好的方式来处理这个严格使用硅石的防火墙设置？解决方案 Symfony的不来与API密钥认证开箱即用，但你可以创建一个（不容易，特别是对于beginers）以下菜谱进入你'已经公 ..

发布时间：2016-05-22 21:30:46 api security symfony2 key silex 其他开发

我将如何保护私有API

我在REST API的工作由我写，多为与数据库通信的目的的移动应用程序中使用。该移动应用程序将调用像这样的网址： example.com/mobileapi/getinfo 和每次调用随身携带某些POST的有效载荷。我不担心用户认证等。不过，我担心的是，如果有人像小提琴手或者Wireshark的网络监控工具使用的移动应用程序，它们可以记录所有的URL被调用，所有的POST参数。这将 ..

发布时间：2016-05-22 21:17:55 security api rest 其他开发

与计费系统的经验

这将是对不同的API，并让您的账单服务的客户反馈非常有用的，所以它可以比较：安全性; API质量; 商业可靠性; 语言数目，可以使用它; 它们的一般用法; 的设置放心; 经济代价; 技术的价格。我想在这里当然贝宝，谷歌结帐，但银行信用卡为基础的系统，以及我设置为社区维基，因为它是一个非常开放的问题。解决方案布伦特里（在一定程度上，其他较小的支付网关 ..

发布时间：2016-05-22 20:59:54 security api paypal billing google-checkout 其他开发

客户登录 - 如何安全地存储在客户端的凭据？

由于许多API通过用户名/密码组合远程提供他们的数据访问，我想知道至极是存储这些值，高度安全的方式（即便100％是不可能的），以便将其直接连接，而不要求每次这些的最佳途径。解决方案我推荐三种方法之一：避免使用认证令牌在所有存储的密码。在这种模式下，在一次用户登录，服务器生成一个唯一的，大的，疏令牌，客户端可以存储和作为其登录用“口令”。服务器只接受一个客户端的时间由此看来， ..

发布时间：2016-05-22 20:57:50 security api login social 其他开发

我该如何保护我的REST API的开发playframework

我读了很多关于这个放在这里和其他物品。首先让我解释一下我的情况。让我们说我有以下REST后端： GET /用户返回所有用户JSON。（无需进行登录的）结果 POST /用户注册新用户。（无需进行登录的）结果删除/用户删除用户。（您不要必须登录的） POST /登录帖子登录凭据，并返回一个200上成功的验证确定。同时这将创建一个会议与用户名。删除/登录注销，这将删除会话。 ..

发布时间：2016-05-22 20:55:48 api security rest playframework 其他开发

security相关内容